W ubiegłym roku pisałem na blogu Domeny.tv o oszustwach w Internecie przy wykorzystaniu domen internetowych. Artykuł opisywał cele, jakie realizują przestępcy – między innymi poprzez rejestrację domen i publikacje serwisów ze szkodliwym oprogramowaniem. W ten sposób są atakowane przedsiębiorstwa i osoby prywatne – oszuści podszywają się pod firmy świadczące różne usługi (np. poprzez przesyłanie fałszywych faktur lub wezwań do zapłaty).
Kliknięcie w link to bardzo często początek realizacji typowego scenariusza ataku. Niezwykle ważna w tym kontekście staje się ocena reputacji domeny. Jeśli serwis uruchomiony w danej domenie jest źródłem złośliwego oprogramowania, taka domena traci dobrą reputację – trafia na czarne listy reputacyjne (black lists). Dotyczy to również jej adresu IP, pod którym serwis jest uruchomiony. Na czarne listy trafiają również domeny, które są używane do wysyłania masowo spamu. Zatem kiedy i w jaki sposób sprawdzać reputację domeny, adresu sieciowego IP i adresu email?
Kiedy sprawdzamy reputację domeny?
Na reputację musimy spojrzeć w dwóch praktycznych kontekstach.
Sprawdzenie reputacji domeny, która się pojawia np. w wiadomości mailowej
Jeżeli wiadomość, którą wstępnie oceniamy jako przydatną, interesującą itp., ale nie jesteśmy pewni bezpieczeństwa linka, w który chcemy kliknąć.
Kontrola reputacji domen używanych w biznesie
Musimy sprawnie interweniować, zwłaszcza w przypadku domen których używamy w biznesie – w serwisach internetowych i poczcie e-mail. Szczególnie w sytuacjach, kiedy nasze wiadomości trafiają u naszych odbiorców do spamu lub klienci nas informują o problemach w przypadku wejścia na nasz serwis www, sklep itp. Mogą się w takich sytuacjach wyświetlać się naszym klientom alarmy narzędzi oceniających reputację stron (na które wchodzi użytkownik komputera czy smartfona), zintegrowanych z programami typu internet security (popularnie nazywanych antywirusami).
Kiedy reputacja naszej domeny może wpłynąć na sprzedaż, warto profilaktycznie kontrolować domeny i adresy mailowe. Powinniśmy się upewnić się, że komunikacja z klientami przebiega poprawnie. W przypadku potencjalnych problemów, musimy szybko reagować, aby uniknąć potencjalnych strat finansowych.
Dobra reputacja nadawcy wiadomości e-mail jest istotnym czynnikiem decydującym o dostarczalności wiadomości e-mail. Ma kluczowe znaczenie dla zapewnienia interakcji z klientem, sprawdzanie reputacji nadawcy wiadomości e-mail ma znaczący wpływ na dostarczalność i pomaga szybko identyfikować problemy.
Domena a adres sieciowy IP
Niektóre narzędzia do sprawdzania reputacji wymagają podania adresu sieciowego IP.
Adres IP dowolnej domeny znajdziemy w serwisach, które służą do sprawdzania konfiguracji serwerów nazw domenowych DNS np.
W jaki sposób sprawdzimy reputację domeny? Możemy to zrobić wykorzystując jedno z narzędzi poniżej.
Przegląd narzędzi do kontroli reputacji domeny
Virustotal.com
VirusTotal skanuje adresy internetowe i sprawdza reputację domen oraz plików. Weryfikowane są bazy ponad 90 dostawców security. Są wśród nich liderzy branży, specjalizujący się w ochronie systemów i sieci komputerowych (np. BitDefender, Fortinet, Sophos, ESET, Acronis). Wyniki skanowania pozwalają ujawnić ewentualną infekcję szkodliwym oprogramowaniem. Serwis należy do firmy Chronicle Security, zajmującej się cyberbezpieczeństwem, która jest częścią Google Cloud Platform.
Reputację domeny sprawdzamy za darmo, wchodząc na adres poniżej
https://www.virustotal.com/gui/home/url
Wyniki skanowania list reputacyjnych pokazuje Rysunek 1. Częścią wyniku jest ocena społeczności, która powinna być oceną pozytywną lub neutralną.
Barracudacentral.org
Kolejne narzędzie dostarczane przez producenta technologii security.
Z bazy danych, która jest wykorzystywana w urządzeniach do ochrony sieci dużych organizacji, korzystamy również za darmo.
Barracuda Reputation System, sprawdza reputację adresów IP i domen. Wchodzimy na stronę:
https://www.barracudacentral.org/lookups/lookup-reputation
Wklej link do sprawdzenia lub wpisz domenę i kliknij przycisk Check Reputation. W wyniku otrzymasz informację czy domena jest czarnej liście (Rysunek 2).
Mxtoolbox.com
Narzędzie używane głównie do domen, które wykorzystywane są w celu obsługi poczty e-mail (MX w nazwie narzędzie to nazwa rekordu pocztowego DNS). Należy pamiętać, że reputacja domeny wykorzystywanej do publikacji strony internetowej, w przypadku jej zainfekowania złośliwym oprogramowaniem, wpływa również na reputację i dostarczanie wiadomości e-mail. Wchodzimy na stronę:
https://mxtoolbox.com/blacklists.aspx
W serwisie bez logowania i rejestracji sprawdzisz dowolną domenę lub adres IP na ponad 80 czarnych listach różnych dostawców. Rysunek 3 pokazuje przykładowe wyniki skanowania.
W przypadku, kiedy domena lub adres sieciowy będzie notowany na jednej z list, pojawi się link, dzięki któremu dostaniemy więcej informacji o przyczynie umieszczenia domeny na czarnej liście.
Sposoby rozwiązania problemów
Należy podkreślić, że w pierwszej kolejności problem musimy zidentyfikować i rozwiązać. Po usunięciu problemu możemy się zwrócić się do administratora danej listy z wnioskiem o wykreślenie z niej naszej domeny. Proces ten w przypadku każdej z czarnych list może wyglądać inaczej. Inne mogą być warunki i czas realizacji takiej prośby.
Talosintelligence.com
Kolejny serwis do sprawdzania reputacji domeny lub adresu sieciowego IP, jest dostarczany przez światowego lidera technologii sieciowych Cisco Systems ze Stanów Zjednoczonych. Możemy zweryfikować reputację zarówno adresu IP serwera poczty e-mail, jak i domeny.
Wchodząc na stronę: https://talosintelligence.com/reputation_center/, sprawdzimy reputację dowolnej domeny lub adresu IP. Rysunek 4 pokazuje ocenę reputacji domeny i adresów email (w skali 1-5).
Ipvoid.com
W serwisie administrowanym przez włoską firmę The NoVirusThanks, po wejściu na stronę
https://www.ipvoid.com/domain-reputation-check/, skontrolujemy dowolną domenę na 50 czarnych listach. Wpisujemy nazwę domeny i klikamy Check Domain. Przykładowe wyniki skanowania pokazuje Rysunek 5.
Trustedsource.org
W serwisie https://www.trustedsource.org/ firmy McAfee, sprawdzamy darmowo i bez logowania reputację dowolnej domeny, adresu IP, lub linku. Musimy tylko wybrać z listy bazę danych narzędzia z którego chcemy skorzystać np. McAfee Webgateway Cloud. Jako wynik otrzymujemy ocenę reputacji domeny – Rysunek 6.
Cyren.com
Cyren IP Reputation Checker to narzędzie amerykańskiego dostawcy technologii bezpieczeństwa w chmurze, do sprawdzania reputacji IP. Pozwala analizować w jaki sposób dostawcy usług pocztowych oceniają nasz adres i domenę, z której wysyłamy pocztę.
Każda wiadomość e-mail, jest wysyłana z określonego adresu IP. Globalny system Cyren rozpoznaje, śledzi i klasyfikuje te adresy na podstawie ich reputacji.
Reputację adresu sieciowego IP sprawdzisz na stronie:
https://www.cyren.com/security-center/cyren-ip-reputation-check-gate
Kontrolę reputacji dowolnego adresu można przeprowadzić bez logowania. Po wpisaniu adresu IP kliknij przycisk: Check IP address (Rysunek 7)
Mail-tester.com
MailTester to narzędzie do kompleksowej analizy reputacji i szans na prawidłowe dostarczenie wiadomości email. Ocenia zarówno reputację domeny i adresu sieciowego serwera poczty, jak i analizuje zawartość wiadomości pod kątem dostarczalności oraz prawidłowości konfiguracji usług pocztowych. Dostarcza również kompleksowy raport uwzględniający wszystkie czynniki wpływające na reputacje i dostarczanie poczty. Narzędzie jest bezpłatne dla kilku procedur kontrolnych na dobę i w tym przypadku nie wymaga logowania.
Wchodzimy na stronę https://www.mail-tester.com/, następnie kopiujemy specjalny adres mailowy (ikona „kopiuj” – dwie kartki) jak na Rysunek 8 i wysyłamy na ten adres maila ze swojej skrzynki pocztowej. Po dłużej chwili na ekranie pojawia się raport na temat reputacji i oceny dostarczania wiadomości jak na Rysunku 9. Raport szczegółowo opisuje, co jest, a co nie jest odpowiednio skonfigurowane. Narzędzie jest darmowe (kilka raportów na dobę dostajemy gratis), proste i skuteczne. Łatwo analizuje reputację i jakość wiadomości e-mail.
Sendforensics.com
Narzędzie które przedstawię, w następnej kolejności, służy do kompleksowej oceny reputacji adresu IP serwera pocztowego i oceny dostarczania wiadomości email. Może być szczególnie ważne przy wysyłaniu wiadomości do wielu adresatów np. newslettera.
Tym razem musimy założyć konto i potwierdzić w wiadomości mailowej swój adres. Dopiero po aktywowaniu konta możemy rozpocząć test, klikając: Free Email Deliverability Test
https://www.sendforensics.com/email-deliverability-test
Fragment raportu jaki otrzymamy bezpłatnie widać na Rysunku 10. Kiedy treść maila testowego będzie bardzo prosta, struktura wiadomości może zostać oceniona słabo i pojawi się wtedy czerwony kolor w raporcie. Należy zaznaczyć również, że niektóre informacje są dostępne tylko w planach płatnych.
Gmail Postmaster
Google bierze pod uwagę bardzo dużą ilość parametrów, na podstawie których e-maile są dostarczane lub nie. Aby pomóc administratorom poczty, dostarcza bezpłatne narzędzie o nazwie Gmail Postmaster Tools Rysunek 11
https://www.gmail.com/postmaster/
Reputacja adresu IP, reputacja domeny, problemy z dostarczaniem do Gmaila to tylko niektóre udostępnione przez to narzędzie dane. Google dostarcza również informacje o tym, jak Twoje konto ma skonfigurowane opcje bezpieczeństwa: uwierzytelnianie, raporty o spamie, podpisywanie i szyfrowanie wiadomości.
Narzędzie jest przeznaczone wyłącznie dla administratorów domeny pocztowej. Wymaga nie tylko logowania, ale również uwierzytelnienia domeny poprzez dopisanie na serwerze nazw DNS obsługującym daną domenę, niestandardowego rekordu tekstowego TXT, podanego przez narzędzie Gmail Postmaster. Administrator kont pocztowych w danej domenie może sprawdzić jak wygląda reputacja w 4 stopniowej skali.
Podsumowanie
Narzędzia do oceny reputacji, które przedstawiłem w tym artykule są w większości bardzo proste w użyciu i znaczna część z nich nie wymaga nawet logowania (rejestracji konta),
Warto ich używać regularnie, niekoniecznie przez wykwalifikowanych pracowników IT. W kontekście zagrożeń, gdzie przestępcy odsyłają do stron ze złośliwym oprogramowaniem, warto propagować wśród pracowników wiedzę o tych narzędziach oraz jak jest zbudowany internetowy adres URL. Pisałem na również na blogu Domeny.tv.
Pingback: Jak przejąć domenę internetową? Poradnik przejmowania domen
Pingback: Darmowa domena na zawsze – co musisz wiedzieć?
Pingback: Szczegółowa analiza hostingu MSERWIS na podstawie recenzji hostingów w serwisie “jakwybrachosting.pl” - Blog MSERWIS
Pingback: Czym jest i co daje dedykowany adres IP na hostingu? - Blog MSERWIS
Pingback: Czy mój adres IP został zablokowany? - Blog MSERWIS
Pingback: Czy warto zarejestrować domeny z błędami literowymi? Jak zabezpieczyć się przed typosquattingiem - Blog Domeny.tv